织梦CMS/include/payment/alipay.php支付模块注入漏洞修复方案

漏洞名称：dedecms支付模块注入漏洞

漏洞描述：DEDECMS支付插件存在SQL注入漏洞，此漏洞存在于/include/payment/alipay.php文件中，对输入参数$_GET['out_trade_no']未进行严格过滤。

解决方案：

大约在136行 /* 取得订单号 */

补丁前: 

$order_sn = trim($_GET['out_trade_no']);

补丁后:

$order_sn = trim(addslashes($_GET['out_trade_no']));

其他漏洞扩展阅读

《织梦dedecms模版soft_add.php SQL注入漏洞修复方法》

《360安全检测Dedecms重定向漏洞的解决方法》

《阿里云提示织梦DedeCMS uploadsafe.inc.php上传漏洞的解决办法》

《织梦dedecms common.inc.php文件SESSION变量覆盖漏洞解决办法》

《DedeCMS V5.7download.php url重定向漏洞解决方法》

《IIS7.5下如何修复X-Frame-Options头未设置的漏洞》